Key Takeaways
- Para peneliti telah berhasil mengelabui beberapa speaker pintar Echo agar memutar file audio yang berisi instruksi berbahaya.
- Perangkat menafsirkan instruksi sebagai perintah dari pengguna nyata, memungkinkan peretas untuk mengambil kendali.
- Peretas kemudian dapat menggunakan speaker yang diretas untuk mengambil alih perangkat pintar lain dan bahkan menguping pengguna.
Terburu-buru untuk melengkapi rumah mereka dengan perangkat pintar, banyak pengguna mengabaikan risiko keamanan yang ditimbulkan oleh speaker pintar, para pakar keamanan memperingatkan.
Contohnya adalah kerentanan yang baru-baru ini ditambal di beberapa perangkat Amazon Echo, yang dapat dimanfaatkan dan digunakan oleh para peneliti dari University of London dan University of Catania, Italia untuk mempersenjatai speaker pintar ini untuk meretas diri mereka sendiri.
"Serangan kami, Alexa versus Alexa (AvA), adalah yang pertama mengeksploitasi kerentanan perintah arbitrer yang dikeluarkan sendiri pada perangkat Echo, " catat para peneliti. "Kami telah memverifikasi bahwa, melalui AvA, penyerang dapat mengontrol peralatan pintar di dalam rumah, membeli barang yang tidak diinginkan, merusak kalender yang ditautkan, dan menguping pengguna."
Friendly Fire
Dalam makalah mereka, para peneliti mendemonstrasikan proses kompromi speaker pintar dengan membuat mereka memutar file audio. Setelah dikompromikan, perangkat dapat bangun sendiri dan mulai menjalankan perintah yang dikeluarkan oleh penyerang jarak jauh. Para peneliti mendemonstrasikan bagaimana penyerang dapat merusak aplikasi yang diunduh pada perangkat yang diretas, melakukan panggilan telepon, memesan di Amazon, dan banyak lagi.
Para peneliti berhasil menguji mekanisme serangan pada perangkat Echo Dot generasi ketiga dan keempat.
Menariknya, peretasan ini tidak bergantung pada pembicara jahat, yang selanjutnya mengurangi kerumitan serangan. Selain itu, para peneliti mencatat bahwa proses eksploitasi agak sederhana.
AvA dimulai saat perangkat Echo mulai mengalirkan file audio yang berisi perintah suara yang mengelabui speaker agar menerimanya sebagai perintah biasa yang dikeluarkan oleh pengguna. Bahkan jika perangkat meminta konfirmasi sekunder untuk melakukan tindakan tertentu, peneliti menyarankan perintah sederhana "ya" kira-kira enam detik setelah permintaan jahat sudah cukup untuk menegakkan kepatuhan.
Keterampilan Tidak Berguna
Para peneliti mendemonstrasikan dua strategi serangan untuk membuat speaker pintar memutar rekaman berbahaya.
Dalam satu, penyerang akan membutuhkan smartphone atau laptop dalam jangkauan penyandingan Bluetooth speaker. Meskipun vektor serangan ini memang membutuhkan kedekatan dengan speaker pada awalnya, setelah dipasangkan, penyerang dapat terhubung ke speaker sesuka hati, yang memberi mereka kebebasan untuk melakukan serangan sebenarnya kapan saja setelah pemasangan awal.
Dalam serangan jarak jauh kedua, penyerang dapat menggunakan stasiun radio internet untuk membuat Echo memainkan perintah jahat. Para peneliti mencatat metode ini melibatkan menipu pengguna yang ditargetkan untuk mengunduh keterampilan Alexa yang berbahaya ke Echo.
Siapa pun dapat membuat dan memublikasikan keterampilan Alexa baru, yang tidak memerlukan hak istimewa untuk dijalankan di perangkat yang mendukung Alexa. Namun, Amazon mengatakan semua keterampilan yang dikirimkan diperiksa sebelum ditayangkan di toko keterampilan Alexa.
Todd Schell, Manajer Produk Senior di Ivanti, mengatakan kepada Lifewire melalui email bahwa strategi serangan AvA mengingatkannya tentang bagaimana peretas akan mengeksploitasi kerentanan WiFi ketika perangkat ini pertama kali diperkenalkan, berkeliling lingkungan dengan radio WiFi untuk membobol nirkabel titik akses (AP) menggunakan kata sandi default. Setelah membahayakan AP, penyerang akan mencari detail lebih lanjut atau hanya melakukan serangan ke luar.
"Perbedaan terbesar yang saya lihat dengan strategi serangan [AvA] terbaru ini adalah setelah peretas mendapatkan akses, mereka dapat dengan cepat melakukan operasi menggunakan informasi pribadi pemilik tanpa banyak kerja," kata Schell.
Schell menunjukkan dampak jangka panjang dari strategi serangan baru AvA akan bergantung pada seberapa cepat pembaruan dapat didistribusikan, berapa lama waktu yang dibutuhkan orang untuk memperbarui perangkat mereka, dan kapan produk yang diperbarui mulai dikirim dari pabrik.
Untuk menilai dampak AvA pada skala yang lebih besar, para peneliti melakukan survei pada kelompok studi yang terdiri dari 18 pengguna, yang menunjukkan bahwa sebagian besar batasan terhadap AvA, yang disoroti oleh para peneliti dalam makalah mereka, hampir tidak digunakan dalam praktek.
Schell tidak terkejut. "Konsumen sehari-hari tidak memikirkan semua masalah keamanan di muka dan biasanya berfokus secara eksklusif pada fungsionalitas."
